ИнфоТеКС ViPNet Coordinator 4: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий ViPNet Coordinator 4 в R-Vision SIEM.

Предварительные требования

Необходим промежуточный syslog-сервер, выделенный под передачу событий из ViPNet Coordinator 4, который будет перенаправлять события в R-Vision SIEM. Данная необходимость обусловлена ограничением со стороны ViPNet Coordinator 4 по портам доставки Syslog (514) для системных событий аудита.

Настройка ViPNet Coordinator 4

Для настройки отправки событий ViPNet Coordinator 4 в SIEM-систему в формате syslog выполните следующие действия:

  1. Войдите в интерфейс командной строки ViPNet Coordinator.

  2. Перейдите в режим администратора:

    enable

  3. Укажите целевой IP-адрес для отправки событий с помощью команды:

    machine set loghost <IP-адрес syslog-сервера>

    где <IP-адрес syslog-сервера> — адрес промежуточного syslog-сервера, в рамках которого планируется осуществлять сбор событий ViPNet Coordinator 4.

  4. Остановите работу службы iplir:

    iplir stop

  5. Откройте файл конфигурации службы iplir:

    iplir config

  6. В секции misc введите следующие значения:

    cef_ip = <IP-адрес>
cef_port = 514
cef_format= xf
cef_enabled = yes

    где <IP-адрес> — адрес промежуточного syslog-сервера, с помощью которого планируется осуществлять сбор событий ViPNet Coordinator 4.

  7. Сохраните изменения.

  8. Закройте файл.

  9. Откройте конфигурацию интерфейса, с которого необходимо получать события о трафике:

    iplir config eth<номер интерфейса>

  10. В конфигурации интерфейса укажите следующие значения:

    [db]
maxsize= 50 MBytes
timedif= 60
registerall= on  # Значение по умолчанию - off.
registerbroadcast= off
omittcpclientport= off
registerevents= on

[cef]
# Для регистрации всех событий - значение all.
# Для регистрации заблокированных пакетов - значение blocked.
event= all

  11. Сохраните изменения с помощью сочетания клавиш CTRL+O.

  12. Закройте файл.

  13. Включите службу iplir:

    iplir start

  14. Добавьте правило фильтрации:

    firewall local add 3 rule "Allow Syslog" src @local dst <IP-адрес коллектора> udp dport <Порт коллектора> pass

Настройка отправки событий ViPNet Coordinator 4 завершена.

Настройка промежуточного syslog-сервера на примере rsyslog

ViPNet Coordinator 4 отправляет системные события на порт со значением 514 по протоколу udp.

Алгоритм настройки syslog-сервера следующий следующий:

  1. Создайте и откройте файл конфигурации rsyslog в директории /etc/rsyslog.d/:

    sudo nano /etc/rsyslog.d/40-vipnet-hw.conf

  2. Скопируйте в файл конфигурации следующие строки:

    module(load="imtcp")
input(type="imtcp" port="514")
module(load="imudp")
input(type="imudp" port="514")

if $fromhost-ip == '<ip ViPNet Coordinator 4>' then {
  action(
    type="omfwd"
    target="<ip R-Vision SIEM>"
    port="<port>"
    protocol="<proto>"
  )
  stop
}

    Здесь:

    • <ip ViPNet Coordinator 4> — адрес интерфейса ViPNet Coordinator 4, с которого будут отправляться события.

    • <ip R-Vision SIEM> — адрес коллектора R-Vision SIEM.

    • <port> — порт приема событий, указанный в R-Vision SIEM.

    • <proto> — протокол передачи.

  3. Сохраните конфигурацию.

  4. Перезагрузите службу rsyslog:

    sudo systemctl restart rsyslog

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM перейдите в раздел Ресурсы → Коллекторы и откройте карточку коллектора.

  2. На вкладке Обогащение добавьте таблицу обогащения коллектора hw_fw_events.

  3. В том же коллекторе создайте новый конвейер.

  4. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в диапазоне 30000—​32767.

    • Протокол: выберите вариант в соответствии с настройками на стороне промежуточного syslog-сервера.

  5. Добавьте на конвейер элемент Нормализатор с правилом ViPNet Coordinator 4 (идентификатор правила: RV-N-329).

  6. Соедините нормализатор с точкой входа.

  7. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  8. Соедините конечную точку с нормализатором.

  9. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

infotecs coordinator4 syslog pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события ViPNet Coordinator 4.

Найти события ViPNet Coordinator 4 в хранилище можно по следующему фильтру:

device_product = "vipnet_coordinator"

infotecs coordinator4 syslog storage

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь